KR102059688B1 - Cyber blackbox system and method thereof - Google Patents
Cyber blackbox system and method thereof Download PDFInfo
- Publication number
- KR102059688B1 KR102059688B1 KR1020150006016A KR20150006016A KR102059688B1 KR 102059688 B1 KR102059688 B1 KR 102059688B1 KR 1020150006016 A KR1020150006016 A KR 1020150006016A KR 20150006016 A KR20150006016 A KR 20150006016A KR 102059688 B1 KR102059688 B1 KR 102059688B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- file
- packet data
- cyber
- extracted
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
사이버 블랙 시스템이 개시된다. 이 시스템은, 모니터링된 네트워크 트래픽에서 전체 패킷 데이터, 플로우 데이터 및 PE(Portable Executable) 파일을 수집하는 데이터 수집부 및 상기 수집된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 기반으로 상기 사이버 침해사고에 대한 원인을 분석 및 상기 사이버 침해사고를 재현하는 서버를 포함한다.A cyber black system is disclosed. The system includes a data collector for collecting entire packet data, flow data, and portable executable files from monitored network traffic, and the collected cyber packet incidents based on the collected total packet data, flow data, and PE files. A server for analyzing the cause and reproducing the cyber infringement incident.
Description
본 발명은 사이버 블랙박스 시스템 및 그 방법에 관한 것으로서, 상세하게는, 사이버 침해 사고의 원인을 분석하고, 상기 사이버 침해 사고에 대한 증거 데이터를 수집할 수 있는 사이버 블랙박스 시스템 및 그 방법에 관한 것이다.
The present invention relates to a cyber black box system and a method thereof, and more particularly, to a cyber black box system and a method for analyzing the cause of a cyber infringement incident and collecting evidence data on the cyber infringement incident. .
네트워크 보안 분야에서 언급되는 사이버 침해 사고(이하, 침해 사고)는 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 사이버 공격이 발생한 상황을 말한다.Cyber infringement incidents (hereinafter referred to as infringement incidents) in the field of network security include cyber attacks that attack the telecommunications network or related information systems by hacking, computer viruses, logical bombs, e-mail bombs, denial of service or high-power electromagnetic waves. Say the situation.
종래의 사이버 공격에 대한 대응은 로그 분석 위주로 행해지기 때문에 신속한 원인 분석과 사후 대응에 한계가 있다. 더욱이 침해 사고가 발생한 이후에는 공격 원인 분석에 필요한 로그 정보가 존재하지 않기 때문에 공격에 대한 원인 분석이 어렵다. 즉, 침해 사고를 인지한 후에도 공격 원인을 알 수 없기 때문에, 사후 대응에 한계가 있다.Since the conventional cyber attack is mainly focused on log analysis, there is a limit to rapid cause analysis and post response. Moreover, after the breach occurred, it is difficult to analyze the cause of the attack because there is no log information necessary to analyze the cause of the attack. That is, even after recognizing the infringement accident, the cause of the attack cannot be known, so there is a limit in the post-response.
또한 지능형 지속 위협(APT: Advanced Persistent Threats)과 같은 진화된 사이버 공격은 원인 분석에만 수 개월 이상의 기간이 소요되고, 기존의 보안 장비로 탐지가 어렵다.
In addition, evolved cyber attacks, such as Advanced Persistent Threats (APTs), require more than a few months of root cause analysis and are difficult to detect with traditional security devices.
따라서 본 발명의 목적은 침해사고가 발생한 경우, 신속하게 침해 사고의 원인을 분석하고, 침해 사고에 대한 증거 데이터의 수집 기능을 제공할 수 있는 사이버 블랙박스 시스템 및 그 방법을 제공하는 데 있다.
Accordingly, it is an object of the present invention to provide a cyber black box system and a method capable of promptly analyzing the cause of an infringement incident and providing a collection function of evidence data on the infringement incident.
상술한 목적을 달성하기 위한 본 발명의 일면에 따른 사이버 침해 사고에 대한 증거 데이터 수집방법은 모니터링된 네트워크 트래픽에서 전체 패킷 데이터를 추출하는 단계와, 상기 추출된 전체 패킷 데이터에서 IP, Port 및 프로토콜 별로 분석하여 동일한 특징을 갖는 패킷 데이터의 묶음을 플로우 데이터로서 추출하는 단계와, 상기 추출된 전체 패킷 데이터에서 PE(Portable Executable) 포맷을 갖는 패킷 데이터의 묶음을 PE 파일로 추출하는 단계와, 상기 추출된 전체 패킷 데이터, 상기 플로우 데이터, 상기 PE 파일을 버퍼에 임시 저장하여 수집하는 단계와, 상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일 각각에 해쉬 함수를 적용하여 해쉬값을 생성하는 단계 및 상기 생성된 해쉬값과, 상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 상기 증거 데이터로서 저장부에 저장하는 단계를 포함한다.According to an aspect of the present invention, there is provided a method of collecting evidence data for a cyber infringement incident, extracting entire packet data from monitored network traffic, and extracting the entire packet data for each IP, port, and protocol. Analyzing and extracting a bundle of packet data having the same characteristics as flow data, extracting a bundle of packet data having a Portable Executable (PE) format from the extracted entire packet data into a PE file, and Temporarily storing the entire packet data, the flow data, and the PE file in a buffer, generating a hash value by applying a hash function to each of the temporarily stored total packet data, the flow data, and the PE file; The generated hash value, the temporarily stored total packet data, and the flow Storing the data and the PE file as the evidence data in a storage unit.
본 발명의 다른 일면에 따른 사이버 블랙 시스템은, 모니터링된 네트워크 트래픽에서 전체 패킷 데이터, 플로우 데이터 및 PE(Portable Executable) 파일을 수집하는 데이터 수집부 및 상기 수집된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 기반으로 상기 사이버 침해사고에 대한 원인을 분석 및 상기 사이버 침해사고를 재현하는 서버를 포함한다.
According to another aspect of the present invention, a cyber black system includes a data collector for collecting entire packet data, flow data, and portable executable files from monitored network traffic, and the collected total packet data, flow data, and PE files. And analyzing the cause of the cyber infringement based on the server and reproducing the cyber infringement incident.
본 발명에 따르면, 본 발명은 네트워크 트래픽으로터 수집된 증거 데이터를 장기간 보존하고, 수집된 증거 데이터에 대한 무결성을 확보함으로써, 종래의 사이버 공격에 대한 대응 기술의 한계점을 해결하고, 침해사고의 증거 데이터 수집과 신속한 원인분석을 가능하게 해줄 수 있다.
According to the present invention, the present invention solves the limitations of the conventional technology for responding to cyber attacks by preserving the evidence data collected from the network traffic for a long time and ensuring the integrity of the collected evidence data, and proof of the infringement accident. It can enable data collection and rapid cause analysis.
도 1은 본 발명의 일 실시 예에 따른 블랙박스 시스템의 내부 구성을 개략적으로 보여주는 블록도이다.
도 2는 도 1에 도시된 데이터 수집부에서 수집되는 증거 데이터를 도식적으로 보여주는 도면이다.
도 3은 도 1에 도시된 데이터 수집부의 내부 구성을 개략적으로 보여주는 블록도이다.
도 4는 도 1에 도시된 서버의 내부 구성을 개략적으로 보여주는 블록도이다.
도 5는 도 2에 도시된 데이터 수집부에서 수행되는 증거 데이터에 포함된 보존 데이터의 수집 및 저장 과정을 보여주는 순서도이다.1 is a block diagram schematically showing the internal configuration of a black box system according to an embodiment of the present invention.
FIG. 2 is a diagram schematically showing evidence data collected by the data collector illustrated in FIG. 1.
FIG. 3 is a block diagram schematically illustrating an internal configuration of the data collector illustrated in FIG. 1.
4 is a block diagram schematically illustrating an internal configuration of the server illustrated in FIG. 1.
FIG. 5 is a flowchart illustrating a process of collecting and storing preserved data included in evidence data performed by the data collector illustrated in FIG. 2.
본 발명의 전술한 목적 및 그 이외의 목적과 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, advantages and features of the present invention, and methods of achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings.
그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 목적, 구성 및 효과를 용이하게 알려주기 위해 제공되는 것일 뿐으로서, 본 발명의 권리범위는 청구항의 기재에 의해 정의된다. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various forms, and only the following embodiments are provided to those skilled in the art to which the present invention pertains. It is merely provided to easily inform the configuration and effects, the scope of the present invention is defined by the description of the claims.
한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자가 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가됨을 배제하지 않는다.Meanwhile, the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In this specification, the singular also includes the plural unless specifically stated otherwise in the phrase. As used herein, “comprises” and / or “comprising” refers to the presence of one or more other components, steps, operations and / or devices in which the mentioned components, steps, operations and / or devices are described. Or does not exclude addition.
도 1은 본 발명의 일 실시 예에 따른 블랙박스 시스템의 내부 구성을 개략적으로 보여주는 블록도이고, 도 2는 도 1에 도시된 데이터 수집부에서 수집되는 증거 데이터를 도식적으로 보여주는 도면이다.FIG. 1 is a block diagram schematically showing an internal configuration of a black box system according to an embodiment of the present invention, and FIG. 2 is a diagram schematically showing evidence data collected by the data collector shown in FIG. 1.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 블랙박스 시스템(300)은 증거 데이터를 수집하는 데이터 수집부(100)와 상기 데이터 수집부(100)에 의해 수집된 증거 데이터를 이용하여 침해사고의 원인을 분석하고, 재현하는 서버(200)를 포함한다.Referring to FIG. 1, the
상기 데이터 수집부(100)에서 수집되는 증거 데이터(11)는 도 2에 도시된 바와 같이, 관리 데이터(13)와 보존 데이터(15)를 포함한다. The
관리 데이터(13)는 상기 보존 데이터(15)를 인덱싱 하는 요약 데이터(13A)와 상기 데이터 수집부(100)의 자원 상태를 나타내는 시스템 로그 데이터(13B)를 포함한다.The
보존 데이터(15)는, 상기 관리 데이터(13)와는 다르게, 상기 데이터 수집부(100)에서 장기간 보존되도록 설정된 데이터로서, 상기 네트워크 트래픽을 구성하는 전체 네트워크 패킷 데이터(15A, 이하, 전체 패킷 데이터), 상기 전체 패킷 데이터(15A)로부터 추출되는 플로우 데이터(15B), 상기 전체 패킷 데이터(15A)로부터 추출되는 실행(Portable Executable: PE) 파일(15C) 및 상기 PE 파일(15C)과 관련된 메타 데이터(15D)를 포함한다. 여기서, 상기 보존 데이터(15)는 전체 패킷 데이터(15A), 상기 플로우 데이터(15B) 및 상기 실행(Portable Executable: PE) 파일(15C) 각각의 무결성을 보장하는 해쉬값을 더 포함할 수 있다. 여기서, PE 파일은 윈도우 운영체제에서 실행되는 실행 파일로서, cp, exe, dll, ocx, vxd, sys, scr, drv 등의 확장자를 갖는 파일 등을 예로 들 수 있다.Unlike the
서버(200)는, 침해사고가 발생 시, 상기 데이터 수집부(100)에서 수집한 증거 데이터(11)를 상기 데이터 수집부(100)에게 요청하고, 상기 요청에 따라 상기 데이터 수집부(100)로부터 전달받은 증거 데이터(11)를 이용하여 상기 침해사고의 원인 및 상기 침해사고를 유발한 사이버 공격을 재현하도록 구성된다. 또한 서버(200)는 상기 침해사고의 원인을 분석한 분석결과를 외부 사이버 보안 관제 시스템(도면에 도시되지 않음)에 제공하도록 구성될 수 있다.When an infringement occurs, the
이하, 도 1에 도시된 데이터 수집부(100) 에 대해 상세 기술한다.Hereinafter, the
도 3은 도 1에 도시된 데이터 수집부의 내부 구성을 개략적으로 보여주는 블록도이다.FIG. 3 is a block diagram schematically illustrating an internal configuration of the data collector illustrated in FIG. 1.
도 3을 참조하면, 본 발명의 일 실시 예에 따른 데이터 수집부(100)는 네트워크 패킷 미러링부(111), 패킷 추출부(113), 플로우 데이터 추출부(115), PE 파일 추출부(117), 버퍼(119), 해쉬값 생성부(121), 관리 데이터 생성부(123), 인코딩부(125) 및 저장부(127)를 포함한다.Referring to FIG. 3, the
네트워크 패킷 미러링부(111)는 네트워크 트래픽을 모니터링 하는 구성으로서, 네트워크 인터페이스 카드(NIC, Network Interface Card)와 같은 네트워크 통신 장비일 수 있다.The network
네트워크 패킷 미러링부(110)는 패킷 미러링 방식을 이용하여 네트워크 트래픽을 모니터링한다. 패킷 미러링은 포트 미러링(Port Mirroring)으로 불리우기도 한다. 포트 미러링은 NIC의 어느 한 포트 상에서 보여지는(seen) 모든 네트워크 트래픽을 NIC의 다른 모니터링 포트(another monitoring port)에 복제(copy)함을 의미한다. The network packet mirroring unit 110 monitors network traffic using a packet mirroring scheme. Packet mirroring is also called port mirroring. Port mirroring means copying all network traffic seen on one port of the NIC to another monitoring port of the NIC.
패킷 추출부(113)는 네트워크 패킷 미러링부(110)에 의해 복제된 네트워크 트래픽으로부터 전체 패킷 데이터를 추출한다. 추출된 전체 패킷 데이터는 버퍼(119)에 임시 저장된다. 이때, 추출된 전체 패킷 데이터는 일정한 시간 단위로 특정 파일 형태로 묶여져 상기 버퍼(119)에 임시 저장될 수 있다. 여기서, 특정 파일 형태는 PCAP(Packet CAPture)포맷 형태의 파일일 수 있다.The
플로우 데이터 추출부(115)는 패킷 추출부(113)에서 추출된 전체 패킷 데이터로부터 플로우 데이터를 추출한다. 플로우 데이터를 추출하는 방식으로, 예컨대, 패킷 추출부(113)에서 추출된 모든 패킷 데이터를 IP, Port 및 프로토콜 별로 분석하여 동일한 특징을 갖는 패킷 데이터를 일정 시간 단위로 수집하고, 일정 시간 단위로 수집된 패킷 데이터를 상기 PCAP 포맷의 특정 파일로 묶어 하나의 플로우 데이터(또는 플로우 패킷)를 추출한다. The
플로우 데이터를 추출하는 다른 방식으로는, 확률론적(Deterministic) 패킷 샘플링 방식을 이용하여 전체 패킷 데이터 중 일정 비율의 패킷을 샘플링하여 플로우 데이터를 추출할 수 있다. As another method of extracting flow data, flow data may be extracted by sampling a predetermined ratio of packets among all packet data by using a deterministic packet sampling scheme.
추출된 플로우 데이터는 버퍼(119)에 임시 저장된다.The extracted flow data is temporarily stored in the
PE 파일 추출부(117)는 패킷 추출부(113)에서 추출된 전체 패킷 데이터로부터 PE 파일을 추출한다. 예컨대, PE 파일 추출부(117)는 패킷 추출부(113)에서 추출된 전체 패킷 데이터 내에서 PE 파일 정보(또는 PE 포맷)를 갖는 패킷들을 선별하고, 선별된 PE 파일 정보를 갖는 모든 패킷들을 수집한 후, 수집된 PE 파일 정보를 갖는 모든 패킷들을 1개의 PE 파일로 재조립(또는 재구성)하는 방식으로 추출한다. 이렇게 추출된 PE 파일은 상기 버퍼(119)에 임시 저장된다. 또한 PE 파일 추출부(117)는 추출된 PE 파일에 대한 메타 데이터를 생성할 수 있다. The
해쉬값 생성부(121)는 상기 버퍼(119)에 저장된 전체 패킷 데이터, 플로우 데이터, PE 파일 각각에 대한 데이터 무결성을 보장하기 위해, 각각에 해쉬 함수를 적용하여 해쉬값을 생성한다. 생성된 해쉬값은 저장부(127)에 저장되어 장기적으로 보존된다.The
관리 데이터 생성부(123)는 도 2에 도시된 바와 같은 요약 데이터 및 시스템 로그 데이터를 포함하는 관리 데이터를 생성한다. The management
요약 데이터는 도 2에 도시된 보존 데이터로 분류되는 전체 패킷 데이터, 플로우 데이터 및 PE 파일 각각을 요약한 데이터로서, 예컨대, 사이버 공격으로 추정되는 전체 패킷 데이터, 플로우 데이터 및 PE 파일 각각의 발생 시간 또는 탐지 시간, 상기 사이버 공격으로 추정된 IP 주소, 전체 패킷 데이터, 플로우 데이터 및 PE 파일 각각을 파일 형태로 저장할 때, 각각의 파일 이름 정보 등을 포함할 수 있다.The summary data is data summarizing each of the entire packet data, the flow data, and the PE file classified as the preservation data shown in FIG. When storing the detection time, the IP address estimated by the cyber attack, the entire packet data, the flow data, and the PE file in the form of a file, each file name information may be included.
이러한 요약 데이터는 서버(200)로 전달되어 통계 정보로 이용될 수 있다. 요약 데이터가 통계 정보로 사용되는 경우, 통계 정보는 서버(200)에 구비된 GUI를 통해 비정상/유해 트래픽 발생 현황 및 추이를 서버 관리자에게 시각적으로 제공하는 정보로 사용될 수 있다. 또한 요약 데이터는 서버(200)에서 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 검색 시, 해당 자료를 검색하기 위한 인덱싱 값으로 사용될 수도 있다.Such summary data may be transferred to the
시스템 로그 데이터는 데이터 수집부(100)의 시스템 상태를 나타내는 데이터로서, 예컨대, 데이터 수집부(100)를 구성하는 CPU, 메모리 및 디스크의 사용률을 의미하는 데이터를 의미한다.The system log data is data representing a system state of the
이러한 요약 데이터 및 시스템 로그 데이터를 포함하는 관리 데이터는 서버(200)의 요청에 따라 주기적으로 보고될 수 있다. 이러한 보고 주기는 서버(200)에 의해 설정될 수 있다. Management data including such summary data and system log data may be periodically reported at the request of the
인코딩부(125)는 버퍼(119)에 PCAP 포맷 형태의 파일로 저장된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 인코딩한다.The
저장부(127)는 상기 인코딩부(125)에 의해 상기 파일 단위로 인코딩된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 보존 데이터로서 저장한다. 또한 저장부(127)는 해쉬값 생성부에서 생성된 전체 패킷 데이터, 플로우 데이터 및 PE 파일 각각에 대한 해쉬값을 전달받아서 이를 증거 데이터로서 저장할 수 있다. 또한 저장부(127)는 PE 파일 추출부에서 생성된 PE 파일에 대한 메타 데이터를 전달받아서 이를 증거 데이터로서 저장할 수 있다.The
이러한 저장부(127)는 WORM(Write Once Read Many)기능을 지원하는 저장소일 수 있다. WORM 기능을 지원하는 저장부(127)는 CD-ROM과 같이, 한번 쓰고, 여러 번 읽기만 제공하는 저장 매체로 이해될 수 있다. 따라서, 상기 저장부(127)는 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 장기가 보존할 수 있다.The
상기 저장부(127)에 저장된 상기 파일 단위로 인코딩된 전체 패킷 데이터, 플로우 데이터 및 PE 파일은 서버(200)의 요청에 따라 서버(200)에 제공된다. 즉, 침해사고가 발생한 경우 또는 그 밖의 필요한 상황이 발생한 경우, 인코딩된 전체 패킷 데이터, 플로우 데이터 및 PE 파일은 침해사고의 원인 분석 및 재현을 위해, 관리 데이터 및 보존 데이터 중 적어도 하나를 포함하는 증거 데이터를 서버(200)에 제공된다.The entire packet data, flow data, and PE file encoded in the file unit stored in the
이하, 도 1에 도시된 서버(200)에 대해 상세 기술한다.Hereinafter, the
도 4는 도 1에 도시된 서버의 내부 구성을 개략적으로 보여주는 블록도이다.4 is a block diagram schematically illustrating an internal configuration of the server illustrated in FIG. 1.
도 4을 참조하면, 서버(200)는 데이터 수집부(100)로부터 제공되는 증거 데이터를 이용하여 침해사고의 원인을 분석하고, 이를 재현한다.Referring to FIG. 4, the
이를 위해, 서버(200)는 관리 데이터 수집부(210), 디코딩부(220), 원인 분석 및 재현부(230) 및 외부 시스템 연동부(240)를 포함한다.To this end, the
관리 데이터 수집부(210)는 아래의 원인분석 및 재현부(230)의 관리 데이터에 대한 요청에 따라 관리 데이터를 제공받아서, 이를 수집한다. 이때, 특별한 요청 없이, 원인분석 및 재현부(230)에서 설정한 보고 주기에 따라 주기적으로 상기 관리 데이터를 제공받아서 수집할 수도 있다. The
디코딩부(220)는 데이터 수집부(100)의 저장부(127)에 인코딩된 상태로 저장된(또는 보존된) 전체 패킷 데이터, 플로우 데이터, PE 파일 및 상기 PE 파일과 관련된 메타 데이터를 전달받아서, 이들을 디코딩한다.The
원인분석 및 재현부(230)는 디코딩된 전체 패킷 데이터, 플로우 데이터, PE 파일 및 상기 PE 파일과 관련된 메타 데이터를 포함하는 보존 데이터 및 요약 데이터와 시스템 로그 데이터를 포함하는 관리 데이터를 데이터 수집부(100)에게 요청할 수 있다.The cause analyzing and reproducing
구체적으로, 원인분석 및 재현부(230)는 데이터 수집부(100)의 저장부(127)에 접근하여 요약 데이터에 인덱싱된 해당 보존 데이터를 검색하고, 해당 보존 데이터가 검색되면, 검색된 해당 보존 데이터를 요청한다.In detail, the cause analysis and reproducing
원인분석 및 재현부(230)는 요청에 따라 상기 검색된 해당 보존 데이터를 전달받으면, 전달받은 해당 보존 데이터를 이용하여 침해사고의 원인을 분석하고, 침해사고를 유발한 사이버 공격을 재현한다.When the cause analysis and reproducing
원인분석 및 재현부(230)는 침해사고의 원인을 분석한 분석 결과를 GUI를 통해 제공자에게 다양한 시각적인 정보로 제공할 수 있다.The cause analysis and reproducing
사이버의 공격의 재현은 사이버 공격 시점에 수집된 증거 데이터를 기반으로 사이버 공격 시나리오 예컨대, 공격 시간, 공격을 가한 IP 주소 등을 추출하고, 추출된 정보를 기초로 공격 시나리오를 구성하고, 구성된 공격 시나리오에 따라 해당 침해 사고를 재현할 수 있다.Reproduction of cyber attacks is based on evidence data collected at the time of cyber attack, extracting cyber attack scenarios such as attack time, attacked IP address, and constructing attack scenarios based on the extracted information. The incident can be reproduced accordingly.
한편, 침해 사고의 원인 분석 결과는 외부 연동 시스템(240)을 통해 외부 시스템에 제공될 수 있다. 원인 분석 결과는 인증된 외부 시스템에 제공되도록 그 제공이 제한될 수 있다. 즉, 외부 연동 시스템(240)은 외부 시스템에 보안 등급을 설정할 수 있고, 설정된 보안 등급에 따라 적절한 권한을 부여할 수 있다. 외부 시스템은 보안 업체, 공공 기관, 포털 업체, 일반 회사 등에 구비된 보완 관련 시스템일 수 있다.On the other hand, the cause analysis result of the infringement incident may be provided to the external system through the
도 5는 도 2에 도시된 데이터 수집부에서 수행되는 증거 데이터에 포함된 보존 데이터의 수집 및 저장 과정을 보여주는 순서도이다.FIG. 5 is a flowchart illustrating a process of collecting and storing preserved data included in evidence data performed by the data collector illustrated in FIG. 2.
도 5를 참조하면, 먼저, 패킷 추출부(113)에서, 패킷 미러링부(111)에 의해 모니터링된 네트워크 트래픽으로부터 전체 패킷 데이터, 플로우 데이터 및 PE 파일 등을 포함하는 증거 데이터를 수집하는 데이터 수집 과정이 수행된다(S510). 수집된 증거 데이터는 버퍼(119)에 임시 저장된다.Referring to FIG. 5, first, the
이어, 버퍼에 저장되는 증거 데이터의 수집 시간이 사전에 설정된 저장 시간을 만족하는지 여부를 판단하는 과정이 수행된다(S520). Subsequently, a process of determining whether a collection time of evidence data stored in a buffer satisfies a preset storage time is performed (S520).
증거 데이터의 수집 시간이 사전에 설정된 수집 시간에 도달하면, 다음 단계(S530)로 진행되고, 도달하지 못하면, 사전에 설정된 저장 시간에 도달할 때까지 증거 데이터의 수집을 계속한다. 증거 데이터의 수집 시간이 1분 단위로 설정된 경우, 버퍼(119)에 실시간으로 수집되는 증거 데이터는 1분 단위로 묶여진다. 이때, 1분 단위로 묶여진 증거 데이터의 묶음은 PCAP 포맷 형태와 같은 특정 파일로 저장된다.When the collection time of the evidence data reaches the preset collection time, the process proceeds to the next step S530. If the collection time does not reach, the collection of the evidence data is continued until the preset storage time is reached. When the collection time of evidence data is set in one minute unit, the evidence data collected in real time in the
이어, 사전에 설정된 수집 시간 동안 수집된 증거 데이터에 대한 데이터 무결성을 보장하기 위하여 해쉬값을 생성하는 과정이 수행된다(S530). Subsequently, a process of generating a hash value is performed in order to ensure data integrity of the evidence data collected during a preset collection time (S530).
이어, 사전에 설정된 수집 시간 동안 수집된 증거 데이터를 상기 특정 파일 단위로 인코딩하는 과정이 수행된다(S540).Subsequently, a process of encoding the evidence data collected for a predetermined collection time in units of the specific file is performed (S540).
이어, 인코딩된 증거 데이터와 생성된 해쉬값은 WORM 기능을 지원하는 저장부에 보존되는 과정이 수행된다(S550). Subsequently, the encoded evidence data and the generated hash value are stored in a storage unit supporting the WORM function (S550).
이후, 버퍼(119) 내에 처리할 데이터가 존재하지 않으면, 증거 데이터에 포함된 보존 데이터의 수집 및 저장 과정과 관련된 일련 모든 프로세스가 종료된다.Thereafter, if there is no data to process in the
도 5의 실시 예에서는, 도 2의 보존 데이터의 수집 및 저장과정에 대해 설명하였으나, 설계에 따라 도 2의 관리 데이터에 대해서도 도 5의 수집 및 저장 과정이 동일하게 적용될 수 있다.In the embodiment of FIG. 5, the collection and storage process of the preservation data of FIG. 2 has been described. However, the collection and storage process of FIG. 5 may be equally applied to the management data of FIG. 2 according to a design.
이상 설명한 바와 같이, 종래의 사이버 공격에 대한 대응은 침해사고의 원인분석에 수개월 이상이 소요되고, 공격원인 분석에 필요한 정보가 남지 않기 때문에 침해사고를 인지한 후에도 공격원인을 알 수 없었으나, 본 발명은 네트워크 트래픽으로부터 전체 패킷 데이터, 플로우 데이터 및 PE 파일 등을 증거 데이터로서 수집하여 이를 장기간 보존할 수 있는 저장 매체에 저장함으로써, 저장 매체에 보존된 증거 데이터를 기반으로 신속하게 침해사고의 원인을 분석할 수 있다.As described above, the response to the conventional cyber attack takes several months or more to analyze the cause of the infringement incident, and since the information necessary for analyzing the cause of the infringement is not left, the cause of the invasion was not known even after the infringement incident was recognized. The present invention collects entire packet data, flow data, and PE files from network traffic as evidence data and stores them in a storage medium capable of long-term preservation, thereby promptly identifying the cause of an infringement incident based on the evidence data stored in the storage medium. Can be analyzed.
본 실시예들이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Those skilled in the art will appreciate that the present invention can be implemented in other specific forms without changing the technical spirit or essential features. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive.
Claims (15)
모니터링된 네트워크 트래픽에서 전체 패킷 데이터를 추출하는 단계;
상기 추출된 전체 패킷 데이터에서 IP, Port 및 프로토콜 별로 분석하여 동일한 특징을 갖는 패킷 데이터의 묶음을 플로우 데이터로서 추출하는 단계;
상기 추출된 전체 패킷 데이터에서 PE(Portable Executable) 포맷을 갖는 패킷 데이터의 묶음을 PE 파일로 추출하는 단계;
상기 추출된 전체 패킷 데이터, 상기 플로우 데이터, 상기 PE 파일을 버퍼에 임시 저장하여 수집하는 단계;
상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일 각각에 해쉬 함수를 적용하여 해쉬값을 생성하는 단계; 및
상기 생성된 해쉬값과, 상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 상기 증거 데이터로서 저장부에 저장하는 단계;를 포함하고,
서버가, 상기 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일 각각을 요약한 요약 데이터를 기반으로 상기 저장부에 접근하여 사이버 공격 시점에 수집된 상기 증거 데이터를 검색하는 단계;
상기 서버가, 검색된 상기 생성된 해쉬값과, 상기 임시 저장된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 기반으로 공격 시간, 공격을 가한 IP 주소를 추출하고, 추출된 정보를 기초로 공격 시나리오를 구성하는 단계; 및
상기 서버가, 상기 구성된 공격 시나리오에 따라 해당 침해 사고를 GUI를 통해 재현하는 단계
를 더 포함하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
In the method of collecting evidence data on the cyber incident,
Extracting full packet data from the monitored network traffic;
Analyzing packet data having the same characteristics as flow data by analyzing the extracted packet data for each IP, port, and protocol;
Extracting a bundle of packet data having a Portable Executable (PE) format from the extracted entire packet data into a PE file;
Temporarily storing the extracted entire packet data, the flow data, and the PE file in a buffer and collecting the extracted packet data;
Generating a hash value by applying a hash function to each of the temporarily stored total packet data, the flow data, and the PE file; And
Storing the generated hash value, the temporarily stored total packet data, the flow data, and the PE file as the evidence data in a storage unit;
Searching, by the server, the evidence data collected at the time of cyber attack by accessing the storage unit based on the summary data summarizing each of the entire packet data, the flow data, and the PE file;
The server extracts an attack time and an attacked IP address based on the found hash value, the temporarily stored total packet data, the flow data, and the PE file, and based on the extracted information, an attack scenario is extracted. Constructing; And
Reproducing, by the server, the breach incident according to the configured attack scenario through a GUI
Evidence data collection method for a cyber infringement incident further comprising.
사전에 설정된 수집 시간 단위로 상기 추출된 전체 패킷 데이터, 상기 플로우 데이터, 상기 PE 파일을 상기 버퍼에 저장하는 단계임을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
The method of claim 1, wherein the collecting step,
And storing the extracted entire packet data, the flow data, and the PE file in the buffer in units of a predetermined collection time.
PCAP(packet capture) 포맷 형태의 파일임을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
The method of claim 1, wherein the bundle of packet data is
Evidence data collection method for cyber infringement, characterized in that the file in PCAP (packet capture) format.
상기 인코딩하는 단계는,
상기 파일 단위로 인코딩됨을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
4. The method of claim 3, further comprising encoding the extracted full packet data, the flow data, and the PE file temporarily stored in the buffer.
The encoding step,
Evidence data collection method for cyber infringement incident, characterized in that encoded in the file unit.
상기 증거 데이터를 WORM(Write Once Read Many) 기능을 지원하는 상기 저장부에 저장하는 단계임을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
The method of claim 1, wherein the storing step,
And storing the evidence data in the storage unit supporting a write once read many (WORM) function.
상기 PE 파일의 메타 데이터를 상기 저장부에 더 저장하는 단계임을 특징으로 하는 사이버 침해 사고에 대한 증거 데이터 수집방법.
The method of claim 1, wherein the storing step,
And storing the meta data of the PE file in the storage unit.
모니터링된 네트워크 트래픽에서 전체 패킷 데이터, 플로우 데이터 및 PE(Portable Executable) 파일을 수집하는 데이터 수집부; 및
상기 수집된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 기반으로 상기 사이버 침해사고에 대한 원인을 분석 및 상기 사이버 침해사고를 재현하는 서버를 포함하고,
상기 서버는,
상기 수집된 전체 패킷 데이터, 플로우 데이터 및 PE 파일을 기반으로 공격 시간, 공격을 가한 IP 주소를 추출하고, 추출된 정보를 기초로 공격 시나리오를 구성하고, 상기 구성된 공격 시나리오에 따라 상기 사이버 침해 사고를 GUI를 통해 재현하는 것인 사이버 블랙박스 시스템.
In the cyber black box system for collecting evidence data on cyber infringement, and analyzing the cause of the cyber infringement based on the collected evidence data,
A data collector configured to collect entire packet data, flow data, and PE (Portable Executable) file from the monitored network traffic; And
A server for analyzing the cause of the cyber infringement incident and reproducing the cyber infringement incident based on the collected total packet data, flow data, and PE file,
The server,
Based on the collected packet data, flow data and PE file, the attack time and the attacked IP address are extracted, the attack scenario is configured based on the extracted information, and the cyber breach incident is generated according to the configured attack scenario. Cyber black box system that reproduces through the GUI.
상기 모니터링된 네트워크 트래픽에서 전체 패킷 데이터를 추출하는 패킷 추출부;
상기 추출된 전체 패킷 데이터에서 IP, Port 및 프로토콜 별로 분석하여 동일한 특징을 갖는 패킷 데이터를 플로우 데이터로서 추출하는 플로우 데이터 추출부;
상기 추출된 전체 패킷 데이터에서 PE(Portable Executable) 포맷을 갖는 패킷 데이터를 PE 파일로 추출하는 PE 파일 추출부; 및
상기 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 상기 증거 데이터로서 저장하는 저장부를 포함하는 사이버 블랙박스 시스템.
The method of claim 7, wherein the data collection unit,
A packet extracting unit extracting entire packet data from the monitored network traffic;
A flow data extracting unit extracting packet data having the same characteristics as flow data by analyzing the extracted packet data for each IP, port and protocol;
A PE file extracting unit for extracting packet data having a PE (Portable Executable) format from the extracted entire packet data into a PE file; And
And a storage unit for storing the entire packet data, the flow data, and the PE file as the evidence data.
상기 저장부는,
상기 인코딩된 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 저장함을 특징으로 하는 사이버 블랙박스 시스템.
The method of claim 8, further comprising an encoding unit for encoding the extracted full packet data, the flow data and the PE file,
The storage unit,
And storing the encoded full packet data, the flow data, and the PE file.
WORM(Write Once Read Many) 기능을 지원하는 저장매체임을 특징으로 하는 사이버 블랙박스 시스템.
The method of claim 8, wherein the storage unit,
Cyber black box system characterized by a storage medium that supports the WORM (Write Once Read Many) function.
The cyber black box system of claim 8, further comprising a buffer configured to temporarily store the extracted entire packet data, the flow data, and the PE file in units of a predetermined collection time.
상기 버퍼에 일정 수집 시간 단위로 임시 저장된 상기 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 저장함을 특징으로 하는 사이버 블랙박스 시스템.
The method of claim 11, wherein the storage unit,
The cyber black box system, characterized in that for storing the entire packet data, the flow data and the PE file temporarily stored in a predetermined collection time unit in the buffer.
상기 전체 패킷 데이터, 상기 플로우 데이터 및 상기 PE 파일을 PCAP(Packet CAPture)포맷형태의 파일로 저장함을 특징으로 하는 사이버 블랙박스 시스템.
The method of claim 8, wherein the storage unit,
And storing the entire packet data, the flow data, and the PE file in a file having a packet capture (PCAP) format.
The cyber black box system of claim 8, further comprising a hash value generator configured to generate a hash value by applying a hash function to each of the extracted entire packet data, the flow data, and the PE file.
상기 해쉬값을 증거 데이터로서 저장함을 특징으로 하는 사이버 블랙박스 시스템.The method of claim 14, wherein the storage unit,
The cyber black box system, characterized in that for storing the hash value as evidence data.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150006016A KR102059688B1 (en) | 2015-01-13 | 2015-01-13 | Cyber blackbox system and method thereof |
US14/937,498 US20160205118A1 (en) | 2015-01-13 | 2015-11-10 | Cyber black box system and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150006016A KR102059688B1 (en) | 2015-01-13 | 2015-01-13 | Cyber blackbox system and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20160087187A KR20160087187A (en) | 2016-07-21 |
KR102059688B1 true KR102059688B1 (en) | 2019-12-27 |
Family
ID=56368362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150006016A KR102059688B1 (en) | 2015-01-13 | 2015-01-13 | Cyber blackbox system and method thereof |
Country Status (2)
Country | Link |
---|---|
US (1) | US20160205118A1 (en) |
KR (1) | KR102059688B1 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101865690B1 (en) * | 2016-08-04 | 2018-06-12 | 주식회사 시큐다임 | security monitoring system and method of network for visibility of HTTPS-based connection |
WO2018097344A1 (en) * | 2016-11-23 | 2018-05-31 | 라인 가부시키가이샤 | Method and system for verifying validity of detection result |
KR102032249B1 (en) * | 2018-07-30 | 2019-10-15 | 고려대학교 세종산학협력단 | Method and Apparatus for Seed based Malicious Traffic Detection using Deep-Learning |
TWI715036B (en) * | 2019-05-15 | 2021-01-01 | 宏碁股份有限公司 | File verification method, file verification system and file verification server |
US11477223B2 (en) * | 2020-01-15 | 2022-10-18 | IronNet Cybersecurity, Inc. | Systems and methods for analyzing cybersecurity events |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050114706A1 (en) * | 2003-11-26 | 2005-05-26 | Destefano Jason Michael | System and method for the collection and transmission of log data over a wide area network |
US20130227689A1 (en) * | 2012-02-17 | 2013-08-29 | Tt Government Solutions, Inc. | Method and system for packet acquisition, analysis and intrusion detection in field area networks |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
JP4838631B2 (en) * | 2006-05-17 | 2011-12-14 | 富士通株式会社 | Document access management program, document access management apparatus, and document access management method |
US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
KR101404108B1 (en) * | 2008-12-10 | 2014-06-10 | 한국전자통신연구원 | Windows Executable File Extraction Method by using Hardware based Session Matching and Pattern Matching and apparatus using the same |
KR101345740B1 (en) * | 2012-02-22 | 2013-12-30 | 박원형 | A malware detection system based on correlation analysis using live response techniques |
KR101498696B1 (en) * | 2013-04-26 | 2015-03-12 | 주식회사 넷커스터마이즈 | System and method for detecting harmful traffic |
US9686312B2 (en) * | 2014-07-23 | 2017-06-20 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
-
2015
- 2015-01-13 KR KR1020150006016A patent/KR102059688B1/en active IP Right Grant
- 2015-11-10 US US14/937,498 patent/US20160205118A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050114706A1 (en) * | 2003-11-26 | 2005-05-26 | Destefano Jason Michael | System and method for the collection and transmission of log data over a wide area network |
US20130227689A1 (en) * | 2012-02-17 | 2013-08-29 | Tt Government Solutions, Inc. | Method and system for packet acquisition, analysis and intrusion detection in field area networks |
Also Published As
Publication number | Publication date |
---|---|
KR20160087187A (en) | 2016-07-21 |
US20160205118A1 (en) | 2016-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102059688B1 (en) | Cyber blackbox system and method thereof | |
US9910727B2 (en) | Detecting anomalous accounts using event logs | |
US10084816B2 (en) | Protocol based detection of suspicious network traffic | |
Maier et al. | Enriching network security analysis with time travel | |
US20180075240A1 (en) | Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device | |
CN107347057B (en) | Intrusion detection method, detection rule generation method, device and system | |
US20160234238A1 (en) | System and method for web-based log analysis | |
WO2018032936A1 (en) | Method and device for checking domain name generated by domain generation algorithm | |
WO2015158194A1 (en) | Dns security system and method thereof for processing a failure | |
US20200287920A1 (en) | Endpoint network traffic analysis | |
Radoglou-Grammatikis et al. | Implementation and detection of modbus cyberattacks | |
CN109255237B (en) | Security event correlation analysis method and device | |
JP2016508353A (en) | Improved streaming method and system for processing network metadata | |
CN110958231A (en) | Industrial control safety event monitoring platform and method based on Internet | |
CN111835680A (en) | Safety protection system of industry automatic manufacturing | |
CN113225339B (en) | Network security monitoring method and device, computer equipment and storage medium | |
CN105577670A (en) | Warning system of database-hit attack | |
CN111800405A (en) | Detection method, detection device and storage medium | |
CN111726364A (en) | Host intrusion prevention method, system and related device | |
CN112769775A (en) | Threat information correlation analysis method, system, equipment and computer medium | |
US9380067B2 (en) | IPS detection processing method, network security device, and system | |
CN111786990B (en) | Defense method and system for WEB active push skip page | |
CN111884883A (en) | Quick auditing processing method for service interface | |
Choi et al. | Introduction to a network forensics system for cyber incidents analysis | |
CN114760083B (en) | Method, device and storage medium for issuing attack detection file |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |